SEH X64(3)

最新推荐文章于 2022-05-23 16:03:00 发布
最新推荐文章于 2022-05-23 16:03:00 发布
阅读量2.1k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18218335/article/details/72784474
版权

接下来看__C_specific_handler函数中出现的函数。首先是RtlUnwindEx函数。在异常操作中,当找到了愿意处理当前异常的ExceptionHandler 之后就会以此为参数调用RtlUnwindEx 函数,根据X86 学到的知识,RtlUnwindEx 在执行ExceptionHandler之前应该执行展开操作,清理资源,然后再执行ExceptionHandler。

函数原型

VOID
RtlUnwindEx (
    IN PVOID TargetFrame OPTIONAL,
    IN PVOID TargetIp OPTIONAL,
    IN PEXCEPTION_RECORD ExceptionRecord OPTIONAL,
    IN PVOID ReturnValue,
    IN PCONTEXT OriginalContext,
    IN PUNWIND_HISTORY_TABLE HistoryTable OPTIONAL
    );

__C_specific_handler 传递给它的参数为

RtlUnwindEx(
	TargetFrame,
	ExceptionHandler,
	ExceptionRecord,
	(PVOID)ExceptionRecord->ExceptionCode,
	Dispatcher_Context->ContextRecord,
	Dispatcher_Context->HistoryTable);
函数通过调用RtlVirtualUnwind(第一个参数UNW_FLAG_UHANDLER) 进行虚拟展开,我们知道,虚拟展开之后context内的状态就是执行完目标地址所在的函数的状态。
RtlVirtualUnwind 函数会返回一个异常处理函数ExceptionRoutine,如果它不为空的话,代表该函数可以进行目标函数的展开操作。然后我们调用该函数,并进行展开
操作,根据调用结果采取不同的动作,如果当前函数就是ExceptionRoutine 所在的函数的话,设置 ExceptionFlags |= EXCEPTION_TARGET_UNWIND;并执行展开操作。
如果返回值是ExceptionContinueSearch,函数将继续调用RtlVirtualUnwind遍历异常链,执行展开操作,直到找到了包含ExceptionHandler的函数,我们在上面
看到过,此时函数将跳转到ExceptionHandler 执行,并不会返回。
另外,就像我们之前在X86 的SEH 中看到的一样,执行展开的函数同样包含有一个异常处理程序用于捕获在展开操作中产生的异常。但该异常处理函数并不像之前X86一样,判断当前的
操作类型之后再给出返回值,该函数直接给出返回值ExceptionCollidedUnwind。
image
从上面的截图可以发现,在执行展开操作之前,RtlpExecuteHadnlerForUnwind 会将当前的 DispacherContext 指针放入 RSP+0x20 的位置。而后当出现异常的时候,RtlpExecuteHandlerForUnwind
对应的异常处理函数RtlpUnwindHandler 会将EstablisherFrame + 0x20 即上面的RSP+0x20 取出来,然后将原来DispacherContext 的内容拷贝到当前DispatcherContext内。
然后我们回到RtlDispatchException 查看它是如何操作的。
它跳过了先前的展开过程。

case ExceptionCollidedUnwind:
    ControlPc = DispatcherContext.ControlPc;
    ImageBase = DispatcherContext.ImageBase;
    FunctionEntry = DispatcherContext.FunctionEntry;
     EstablisherFrame = DispatcherContext.EstablisherFrame;
     RtlpCopyContext(&ContextRecord1,
                    DispatcherContext.ContextRecord);

    ContextRecord1.Rip = ControlPc;
    ExceptionRoutine = DispatcherContext.LanguageHandler;
    HandlerData = DispatcherContext.HandlerData;
    HistoryTable = DispatcherContext.HistoryTable;
    ScopeIndex = DispatcherContext.ScopeIndex;
    Repeat = TRUE; 

设置变量为执行展开操作之前保存的值,然后设置Repeat=TRUE并进入下一层的循环操作,即直接继续执行产生展开异常的异常处理函数,而此时改变的就只有
scopeindex,即越过了导致异常的finally层。详细的执行过程可以参考下面给的链接,展开过程中的异常讲的特别好,就不再重复了。
http://boxcounter.com/technique/2011-11-04-seh-x64/
另外,还有一个种情况是,执行异常处理函数中产生的异常。此种情况上面的描述也十分详细,不再重复了。
到此我们大概分析了SEH X64 的处理过程。
下一篇文章介绍得到X86/X64 调用堆栈的方法。其中一种用到了SEH 中的RtlVirtualUnwind 函数。
kiki商
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x64seh
Returns' Station
07-24 3163
PatchGuard与异常处理密切相关,所以先看看x64SEH 关于x86中内核如何捕获异常,分发异常,可以看http://blog.csdn.net/shevacoming/article/details/7580350 上面那篇没有跟进分析RtlDispatchException,这里跟进以复习x86 seh的结构,也看经典的这一篇 http://bbs.pediy.com/
X64 SEH的展开
nethm的专栏
12-08 1884
C++ 代码: #include "stdafx.h" #include ULONG WINAPI FilterFunc(DWORD dwExceptionCode) { return (dwExceptionCode == STATUS_INTEGER_DIVIDE_BY_ZERO) ? EXCEPTION_EXECUTE_HANDLER : EXCEPTION_CONTINUE_SE
SEH X64(1)
商少
05-25 1317
开门见山的介绍X64-SEH 的结构:相比于X86 在程序运行中动态构建SEH结构,X64-SEH 是静态的,其信息包含在PE文件中。下面我们首先看一下对应的结构,然后看看其提供的信息是否能够满足异常捕获以及异常处理的功能。 为异常处理和调试器支持展开数据 执行异常处理和调试支持所需的数据结构 RUNTIME_FUNCTION typedef struct _RUNTIME_FUNCTIO
SEH分析笔记(X64篇)
FrankieWang008的专栏
12-18 6825
SEH分析笔记(X64篇) v1.0.0 boxcounter 历史: v1.0.0, 2011-11-4:最初版本。 [不介意转载,但请注明出处 www.boxcounter.com  附件里有本文的原始稿,一样的内容,更好的高亮和排版。 本文的部分代码可能会因为论坛的自动换行变得很乱,需要的朋友手动复制到自己的代码编辑器就可以正常显示了] 在之前的《SEH分析笔记(
SEH X64(2)
商少
05-26 1575
上一篇文章,我们介绍X64 SEH 操作所需要的操作,与X86相比,它是静态的并且这些静态信息足够用于展开操作,下面我们来分析展开操作相关的函数。 首先来看异常的分发函数。这里的调用流程其实跟X86 SEH 类似,KiDispatchException--->RtlDispatchException---->RtlpExecuteHadnlerForException。KiDispatchExc
x86-64-posix-seh和MinGW-W64-install.exe
最新发布
08-17
它提供了针对x86-64架构的工具链,允许开发者使用GCC来编译出符合Windows x64 ABI的程序。 在压缩包文件中,"x86_64-8.1.0-release-posix-seh-rt_v6-rev0.7z"是MinGW-W64的一个特定版本,其中包含了GCC 8.1.0版本,...
x64-4.8.1-release-posix-seh-rev5
12-02
标题"x64-4.8.1-release-posix-seh-rev5"指的是MinGW-w64的一个特定版本,这是Windows平台上的一个开源GCC(GNU Compiler Collection)移植版,用于支持64位(x86_64架构)的程序开发。这个版本是4.8.1,并且采用了...
x64-4.8.0-release-posix-seh-rev2
11-04
x64-4.8.0-release-posix-seh-rev2
mingw x86_64-7.3.0-release-posix-seh-rt_v5-rev0离线完整安装包.zip
07-07
这款"MingW x86_64-7.3.0-release-posix-seh-rt_v5-rev0离线完整安装包"是针对64位Windows系统的MingW版本,包含了最新的7.3.0版本的组件,以支持POSIX标准和异常处理(SEH)。 在Windows上进行C或C++开发时,MingW...
MinGW 64位 最新版离线安装包:x86-64-13.1.0-release-posix-seh-ucrt-rt-v11-r
06-09
标题中提到的"MinGW 64位 最新版离线安装包:x86-64-13.1.0-release-posix-seh-ucrt-rt-v11-r",意味着这个压缩包包含了MinGW的最新64位版本,其核心组件GCC已经更新到了13.1.0版本。这里的"x86-64"表示适用于64位...
x64dbg 调试 EXCEPTION_ACCESS_VIOLATION C0000005
qq_42402783的博客
05-23 1857
报错发生 exceptions range from 0000000 to FFFFFFFF but can't skip C0000005 (EXCEPTION_ACCESS_VIOLATION) 目前解决方法: 取消ScyllaHide所有勾选,再试一次,对我来说来说效果很好 有其它问题持续更新
Structured Exception Handling 异常扑捉
zgl7903的专栏
05-06 1519
/* Eval_Exception 输入参数: EXCEPTION 异常代码 返回值: 以下三个中的一个 取决于你准备如何处理 EXCEPTION_EXECUTE_HANDLER EXCEPTION_CONTINUE_SEARCH EXCEPTION_CONTINUE_EXECUTION */ int Eval_Exception (DWORD n_except)
SEH 学习笔记
不会写代码的丝丽
11-28 582
概述 在WIN中提供了一个机制可以让我们在C语言中使用类似c++ try_catch语法,我们把这种语法称为Structured Exception Handling(SEH). 官方文档 例子1 #include <iostream> #include <Windows.h> #include <Windows.h> #include <DbgHelp.h> int* pInt = nullptr; //异常处理器 LONG ExceptionFilt
栈回溯----X64
商少
06-19 2965
通过X64-SEH 的学习(http://blog.csdn.net/qq_18218335/article/details/72722320)我们知道了一个函数RtlVirtualUnwind,虚拟展开函数,该函数根据epilog 和 prolog 进行虚拟的寄存器操作(在一个CONTEXT结构体中),函数执行完,CONTEXT结构体中即为函数虚拟执行完后寄存器应该有的状态,其中rip 和 rs
OpenJDK新手教程之编译HotSpot
09-06 625
前言 讲OpenJDK/HotSpot编译的文章比较多了,玩Linux的朋友自是不在话下,Windows下的也有那么几篇: 《深入理解Java虚拟机》作者周志明的《自己动手编译Windows版的OpenJDK 7》(http://icyfenix.iteye.com/blog/1097344...
windows x64异常分发流程
weixin_43787608的博客
06-15 2751
0x00 对windows比较熟悉的同学应该都知道SEH这个概念,我们可以通过SEH来来捕获异常,之后决定怎么处理。 具体的内容可以查看:https://bbs.pediy.com/thread-173853.htm 在上面的文章中,少讲了VCH。 我们根据异常的分发流程,在没有挂上调试器的情况下,异常会先被路由到veh,之后进入seh。那么就存在一个很严重的问题,seh是针对特定线程的特定函数的...
WinDbg : 在Win7X64中调试x86应用层程序
谢绝留言与私信
06-09 4693
主机环境: win7X64Sp1 装了WDK后, 默认的WinDbg是X64版本. 当WinDbg -I后, 是将X64程序的异常处理交给了WinDbgX64. 我写了个Demo, 搞了个野指针, 向野指针中写内容时, Demo挂了, WinDbgX64捕获不到. 在WDK安装光盘(GRMWDK_EN_7600_1.ISO)中, 有X86版WinDbg的安装程序 : \Debuggers\
x64异常处理
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
04-08 1694
;-------------------------------------------------------------------------------- ;请访问64位汇编语言官方站 [url]Http://Www.X64Asm.Com[/url] ;电子邮件 [email]Jxc25@X64Asm.Com[/email] Tel:130******** ;------------
vscode mingw-w64安装教程
08-11
当您想在VS Code中使用mingw-w64作为C/C++编译器时,您需要按照以下步骤进行安装和配置: 步骤1:安装mingw-w64 1. 访问mingw-w64官方网站:https://mingw-w64.org/doku.php/download,并选择适合您操作系统的安装程序。 2. 下载适用于您的操作系统的安装程序,并运行它。 3. 在安装向导中选择合适的选项,例如选择目标架构(x86或x64)和线程模型(posix或win32)等。 4. 选择安装目录并开始安装。 5. 完成安装后,确保您知道mingw-w64的安装路径。 步骤2:配置VS Code 1. 打开VS Code,并安装C/C++扩展。可以通过扩展视图(Ctrl+Shift+X)搜索"C/C++"并进行安装。 2. 安装完成后,打开设置(File -> Preferences -> Settings)。 3. 在设置中搜索"C++"以找到相关的C/C++配置选项。 4. 找到"C++: Intelli Sense Engine"选项,并将其设置为"Tag Parser"。 5. 找到"C++: Default"配置选项,并单击"Edit in settings.json"链接。 6. 在"settings.json"文件中,找到"includePath"属性,并添加mingw-w64的安装路径。示例:"C:\\mingw-w64\\x86_64-8.1.0-posix-seh-rt_v6-rev0\\mingw64\\lib\\gcc\\x86_64-w64-mingw32\\8.1.0\\include"。 7. 保存"settings.json"文件并关闭。 步骤3:验证配置 1. 创建一个新的C/C++项目或打开一个现有的项目。 2. 在代码文件中编写一些C/C++代码。 3. 按Ctrl+Shift+B(或选择"Terminal -> Run Build Task")来构建代码。 4. 如果一切顺利,您应该能够成功编译和运行C/C++代码。 这就是在VS Code中安装和配置mingw-w64的简单教程。希望对您有帮助!如果您有任何其他问题,请随时问我。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值